DBセキュリティ監査システム( IPLocks


昨夏、ローソンの顧客情報流出に関連して会員に詫び状と商品券が配られる事件がありました。その後、連続して同様の事件が報道されています。金融機関は、内容・量ともに膨大な顧客情報を保管しています。それを大勢の社員が日常業務に使っています。保険会社のように万単位の営業職員や代理店が社外を持ち歩いているような場合には、経営者は眠れぬ日々が続いているのでは・・と気の毒になります。内部からの漏洩ですと、自社は被害者ではなく、加害者になってしまいます。内部には委託業者の要員も含まれますし。

データセキュリティは、今に始まったテーマではないのですが、世の中のセキュリティ関連製品はウィルスやハッキング対策のネットワーク・セキュリティが中心です。ネットワーク・セキュリティのコンサルティングでは診断・改善策提言を行なって数千万円の費用がかかります。しかし、何の保証も責任も負ってくれません。

セキュリティ意識の高い金融機関では、ホストDBなど主要なデータに関してはアクセス制限を厳しくしたり、暗号化を行なっていますが、内部の関係者による持ち出し・漏洩を予防・抑制することにはなりません。少なくとも、責任を問われずに済む仕掛けが欲しいと思うのは当然です。

データベース・セキュリティに関連するツールは、意外なことに殆どありません。OracleやDB2などのDBMSには監査用の記録を取り、典型的な管理資料を出力する機能がありますが、これらのデータを充分にこなしている金融機関は聞いたことがありません。

最近、IPLocks−DSASという製品の説明を聞きました。データベース・セキュリティ・ソフトです。

http://www.iplocks.co.jp

NEC出身の坂本さんという方がシリコンバレーで設立したIPLocksという会社が、米国のIT企業や学者と協働して開発した製品で、ベストプラクティス・レベルの監査・監視機能を備えているそうです。

LinuxかXPに搭載したIPlocksをネットワークでOracleやDB2などの複数のDBMSと同時に接続します。とはいえ、ReadOnlyのユーザーアカウントでDBMSから必要情報を取り出すだけですから、既存システムに何らの変更も必要ありません。監査・監視の対象となるのは、OSサーバ、データベース・サーバ、メタデータ、アクセス権限、データコンテンツ、ユーザ行動、アプリケーションの全7レイヤです。

機能としては、DB脆弱性評価・報告、不審アクセス・更新状況の監視、学習機能によるユーザー異常行動検知、異常コンテンツの自動検出などがあります。監視・検出機能で異常を検知した場合には、管理者にリアルタイムで報告するとともに、関連データをアーカイブ記録して証拠資料を作成します。SNMPインタフェースをサポートしていますので、普及している統合運用管理ソフトと連携することもできます。

同社は日本では、まだ直販していませんので価格は公開されていません。販売代理店が導入や監査等のサービスとバンドルして提供する体制です。対象DBの数によって価格が決まるようですが、400〜1000万円程度と考えられます。

この種の監査・監視システムで不正の事前予防が出来る訳ではありません。しかし、抑止効果を期待できることと、早期発見を可能にすることで、仮に不正行為があっても実被害が発生する前に対処できる可能性を高めます。

余りコストがかからず簡単に導入できますので、自社内でDBセキュリティ対策とするのも良いでしょう。共同化を含めて外部委託している場合は、自社要員或いは第三者を使ってモニタリングすべきだと思います。外部委託だからといって、自社の顧客情報が漏洩した場合の責任は免れませんので。

ホスト及びそれに準じた環境におけるDBセキュリティとしては、IPLocksで相当なレベルの監視体制が可能となります。金融機関の場合は、データをダウンロードすることで複数のコピーが拠点や担当者のPCに存在することがもう一つの課題です。分散Fileに関するセキュリティ製品もあるのですが、限られた機能だけのものが多く、安心できるほどではありません。金融機関での顧客情報の使用形態にあわせたソリューションが欲しいものです。